Банковские вредоносы и защита банковских приложений

Банковские вредоносы и защита банковских приложений
d4bcc15d4e0ef860d9ed00ae7571d49e.jpg
Эксперты «Лаборатории Касперского» в вышедшем в апреле аналитическом документе «Финансовые киберугрозы в 2019 году» отметили определенные изменения по итогам прошедшего года.
Важные выводы исследования, на которые обязательно стоит обратить внимание ИБ-аналитикам:
  • Выросло количество фишинговых атак в финансовом секторе, практически каждая третья фишинговая атака в мире связана с финансовыми угрозами и банковской деятельностью.
  • Вырос процент пользователей, атакованных банковским вредоносным ПО в корпоративном секторе.
  • В целом частота использования злоумышленниками банковских троянов несколько снизилась и, кроме того, сузилась до наиболее успешных экземпляров (ZBot, RTM, Emotet, CliptoShuffler и др.).
  • Частота атак на мобильные устройства (Android, MAC, и др) несколько снизилась. Но некоторые регионы остаются сильно подвержены такого рода атакам: Россия, ЮАР, Австралия. Атакам вредоносного ПО для ПК подвержены: Россия, Германия, Индия и др.
  • Среди лидеров брендов, которые используются для приманки, остаются Apple (не зависимо от целевой платформы – и в фишинге для MAC, и для Windows), Amazon, eBay, Groupon, Steam, ASOS, Alibaba Group, Shopify, Allegro, Americanas и MercadoLibre.
  • Аналогичная статистика среди платежных систем: PayPal, MasterCard, Visa, American Express, Strip, Authirize.Net, Cielo S.A., Adyen, Alipay, Neteller.
  • Частыми темами фишинга остаются: взлом аккаунта, блокировка учетной записи, выгодные предложения и др.
  • Активна тенденция использования в фишинге фальшивых SMS-уведомлений и Push-уведомлений от имени банковских приложений.
Доля фишинговых атак на платежные системы и онлайн-магазины остается примерно на том же уровне. Но эта тенденция в связи с карантинными мерами и популярностью данных сервисов изменилась в сторону роста. Надо отметить, что данные выводы получены от пользователей продуктов по защите «Лаборатории Касперского».
Что касается работы самого приложения клиент-банка, эксперты Positive Technologies в апреле опубликовали результаты анализа 14 приложений клиент-банка, где обозначены следующие выводы:
  • Каждое второе ПО мобильного банка имеет лазейки для проведения мошеннических операций и кражи денежных средств. А из каждого третьего приложения могут быть украдены данные банковских карт.
  • Практически во всех клиентских частях возможен доступ к данным пользователя, причем 76% уязвимостей приложений могут быть проэксплуатированы без физического доступа к устройству. То есть злоумышленнику достаточно установить через фишинговую атаку вредоносный исполняемый код, и через него он может получить доступ к платежным данным и приложению клиент-банка.
Как показывают исследования, количество атак на финансовые сервисы в корпоративном секторе поступательно растет. Мерами по снижению рисков в данном случае является реализация средств защиты от фишинговых и сетевых атак:
  • Использование средств защиты периметра. Группа компаний Angara успешно сотрудничает с ведущими производителями решений класса NGFW: Palo Alto, Check Point, Cisco, Huawei, Forcepoint Stonegate, UserGate, Fortinet.
  • Использование средств защиты почтовой переписки. Группа компаний Angara рекомендует следующие лидирующие на рынке решения: Kaspersky Email Security, Trend Micro InterScan Messaging Security, FortiMail.
  • Для усиления защиты фильтрацией неизвестных вредоносных программ и ссылок, рекомендуется использование Sandbox-решений: Trend Micro Deep Discovery, Kaspersky Anti Targeted Attack и др.
  • Для мобильных устройств, входящих в защищенный периметр, рекомендуется использование Enterprise Mobility Management (EMM) решений: Mobile Iron, AirWatch.
  • Для регулярного сканирования на уязвимости систем компании эксперты группы компаний Angara  рекомендуют следующие решения: Tenable.sc, MaxPatrol 8, Nessus Vulnerability Assessment.
Разработчикам можно порекомендовать уделять больше внимания DevSecOps процедурам. А также качественнее использовать сканеры исходного кода (SAST/DAST) для избежания крупных уязвимостей. У всех исследованных приложений отсутствует защита от внедрения кода и «перепаковки», в коде содержатся имена классов и методов, нет обфускации. Это позволяет злоумышленнику через реверс инжиниринг находить закладки типа тестовых логинов и паролей, ключи шифрования и другие важные коды защиты, через которые возможно получение доступа к серверным компонентам клиент-банка или использование в своих целях ошибок в бизнес-логике приложений.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group